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Die folgenden Angaben si nd den vom Anmelder eingereichten Unteriagen entnommen 

@ Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlussel einer 
Chipkarte 

@ Die Erfindung betrifft ein Verfahren zum Schutz vor An- 
griffen auf den Authentifizierungsalgorithmus bzw. den 
Geheimschlussel einer Chipkarte (SIM) in einem Netz- 
werk zur Nachrichtenubertragung, vorzugsweise in ei- 
nem GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmus sowie ein geh aimer Schlussel gespeichert 
ist, wobei zur Authentifizlerung zunachst vom Netzwerk 
oder einer Netzwerkkomponente eine Zufallszahl an die 
Chipkarte ubertragen wird, in der Chipkarte mittels des 
Algorithmus, der Zufallszahl und des geheimen Schlus- 
sels ein Antwortsignal erzeugt wird, das an das Netzwerk 
bzw. die Netzwerkkomponente ubermittelt wird, um dort 
die Authentizitat der Karte zu uberprufen. GemaK der Er- 
findung ist ein Zahler zur Aufzeichnung der Anzahl der 
insgesamt mit der Karte durchgefuhrten Authentifikati- 
onsvorgange vorgesehen. Es wird weiterhin ein oberer 
Grenzwert fur die Anzahl der insgesamt mit der Karte 
[ durchzufuhrenden Authentifikationsvorgange vorgege- 
ben und bei jeder Authentication der Zahler erhoht und 
mit dem vorgegebenen oberen Grenzwert verglich en. 



UJ 

Q 



RM^nFfinftUCCFRE' 09.99 on* iuA»flo/i 



91 



DE 198 18 998 A 1 

1 2 

Beschreibung Schlussels und bei Bekanntsein des Algorithmus konnen 

wesentliche Funktionselemente der Karte simuliert bzw. du- 

Die Erfindung betrifft ein Verfahren zum Schutz vor An- pliziert werden. 
griff eo auf den Authentifizierungsalgorithmus bzw. den Ge- Es ist deshalb Aufgabe der Erfindung, ein sicheres Ver- 
heimschliissel etner Oiipkarte (SIM) in einemNetzwerkzur 5 fahren zum Schutz vor Angriffen auf den Authentifizie- 
Nachrichtenubertragung, vorzugsweise in einem GSM- rungsalgorithmus bzw. den Geheimschliissel einer Chip- 
Netzwerk, nach dem Oberhegriffdes Anspruchs 1 . karte in einem Nachrichtensystem anzugeben, bei dem eine 

Bei GSM-Systemen ist es bekannt daB sich zum Ge- sichere Rilckmeldung Uberdie Authentifizierung an dieteil- 
brauch der Chipkarte (Subscriber Identity Module SIM) zu- nehmende Chipkarte nicht erfolgt. 
nachst der Benutzer mittels einer personlichen Identifikati- 10 Diese Aufgabe wird gemafi der Erfindung ausgehend von 
onsnummer (PIN) als zur Benutzung berechtigt ausweisen den Merkmalen des Oberbegriffs des Anspruchs 1 durcb die 
muB. Um an dicscr Stcllc MiBbrauch zu vcrmcidcn, ist cs fur kcnnzcichncndcn Mcrkmalc des Anspruchs 1 gclost. 
die PIN-Eingabe bekannt, einen Fehlerzahler vorzusehen, Vorteilhafte Ausgestaltungen der Erfindung sind in den 
der nach Uberschreiten einer zulassigen Anzahl von Fehl- abhangigen Anspriichen angegeben. 
versuchen den weiteren Gebrauch der Karte unterbindet. 15 GemaB der Erfindung wird vorgeschlagen, die beliebig 

Eine weitere, systemrelevante SicherheitsmaBnahme be- haufige Wiederholung des Identifizierungsvorgangs dadurch 
steht in der Authentisierung der Karte gegenuber dem Mo- zu unterbinden, daB in der Karte oder im Netzwerk ein Zah- 
bilfunknetz. Zu diesem Zweck ist in der Karte eine von au- ler vorgesehen wird, welcher die Anzahl der insgesamt 
Ben nicht zugangliche Geheimnummer und ein ebenfalls durchgefuhrten Authentifizierungsversuche festhalt. Der ak- 
von auBen nicht zuganglicher, gegebenenfalls geheimer Al- 20 tuelle Zahlerstand wird bei jeder Authentifizierung mit ei- 
gorithmus abgelegt. Zur Authentifizierung wird vom Netz- nem vorgebbaren oberen Grenzwert verglichen. Durch die 
werk bzw. einer Netzwerkkomponente eine Zufallszahl er- Zahlung der Anzahl der insgesamt durchgefuhrten Authen- 
zeugt, die der Karte mi tgeteilt wird. Die Karte berechnetaus tifikationsversuche wird in vorteilhafter Weise zum einen 
dieser Zufallszahl und dem geheimen Schliissel mittels des erreicht, daB die fehlende Riickuieldung des Aulhentifizie- 
Algorithmus eine Signalantwort, welche dem Netzwerk mit- 25 rungsergebnisses nicht zwangslaufig in der Nichtanwend- 
geteilt wird. Diese Antwort wird im Netzwerk analysiert barkeit der Vorgabe einer Obergrenze fur die maximal zulas- 
und es wird, bei positivem Ergebnis, Zugang zu den Netz- sige Anzahl der Authentifizierungsversuche endet und zum 
wcrkfunktioncn crlaubt andcrcn kann der Zahlcr, da cin Riicksctzcn nicht crlaubt ist, 

Aus der deutschen Patentschrift DE 43 39 460 CI ist ein durch ein unzulassiges Riicksetzsignal nicht auBer Kraft ge- 
Verfahren zur Authentifizierung eines Systemteils durch ein 30 setzt werden. 

anderes Systemteil eines Informationsiibertragungssystems GemaB einer vorteilhaften Ausfiihrungsfonn der Erfin- 
nach dem Challenge and Response-Prinzip bekannt. Die dung liegt der vorgegebene obere Grenzwert hoher als die 
dort beschriebene Datentrageranordnung ist mit einem Wer- geschatzte Anzahl der mit der Karte ubiicherweise auszu- 
tespeicher versehen, dem eine Kontrolleinrichtung zugeord- fuhrenden Authentifikationsvorgange. Zur Auslegung der 
net ist Weiterhin ist ein nicht fluchtiger, begrenzbarer Feh- 35 oberen Grenze ist deshalb jeweils an Hand der Schlussel- 
lerzahler sowie eine Sperrvorrichtung vorgesehen. Bei dem lange und der sonstigen Randbedingungen eine Risikoab- 
Authentifizierungsverfahren ist die tragbare Datentrageran- scbatzung durchzufuhren, wobei bei vertretbarem Risiko die 
ordnung zunachst gesperrt und wird erst nach Verandem des obere Grenze moglichst iiber der Anzahl der zu erwartenden 
Fehlerzahlerstandes freigegeben. Von dem Endgerat werden regularen Authentifikationen anzusetzen ist, um nicht eine 
daraufhin Zufallsdalen zur Iragbaren Datentnigeranordnung 40 fur den Benutzer unangenehme vorzeitige Sperrung der 
ubertragen. Diese Daten werden sowohl im Endgerat als Karte in Kauf zu nehmea. Die vorgegebene obere Grenze 
auch in der tragbaren Datentrageranordnung durch einen ge- sollte uberdies unter der zu erwartenden Anzahl der Versu- 
heimen Algorithmus und geheime Schlttsseldaten zu Au- che liegen, die notwendig sind, um den geheimen SchlUssel 
thentifikationsparamctern vcrarbcitct. Die im Endgerat cr- herauszufinden. 

zeugten Authentifikationsparameter werden im weiteren zur 45 Eine weitere vorteilhafte Ausgestaltung der Erfindung 
tragbaren Datentrageranordnung ubenniuelt und mit den sieht vor, daB der Zahler in der Chipkarte realisiert ist und 
dort berechneten Authentifikationsparametern verglichen. der Vergleich mit dem oberen Grenzwert in der Chipkarte 
Bei Ubereinstimmung wird der Fehlerzahler riickgesetzt ausgeruhrt wird. Damit kann bei einer Simulation des Net- 
Bei dem bekannten Stand der Technik wird also bei jedem zes durch einen Computer zumindest die Simulation der 
Bearbeitungsvorgang der Fehlerzahler erhoht und bei er- 50 Zahlerstande vermieden werden. 

folgreicher Beendigung des Bearbeitungsverfahrens ruckge- Fiir den Fall, daB beispielsweise aufgrund mangelnden 
setzt. Bei tjberschreiten eines vorgegebenen Grenzwertes Speicherplatzes oder sonstiger Umstande eine ReaUsierung 
fur die Anzahl der Fehlversuche werden weitere Authentifi- des 2^ahlers auf der Karte nicht moglich ist, kann die Reali- 
zierungsversuche nicht zugelassen. . sierung auch im Netz erfolgen, wobei vorzugsweise die 

Bei der Authentifizierung im GSM-Netz besteht das Pro- 55 Zahlerdaten vor jeder Authentifizierung verschliisselt an die 
blem, daB die Karte nicht iiber eine fehlgeschlagene Authen- Karte ubertragen werden. 

tifizierung informiert wird, sondern es wird lediglich im S y- GemaB einer weiteren vorteilhaften Ausgestaltung der Er- 
stem eine Oberprufung durchgefuhrt, die entweder zum Ab- findung werden bei t)berschreiten des oberen Grenzwertes 
brucn der Verbindung oder zur Zulassung des Ifeilnehmers einzelne oder alle Funktionen der Chipkarte blockiert, so 
zu den Nctzdicnstcn fuhrt. 60 daB die Funktionsfahigkcit der Karte zumindest stark cingc- 

Auch in einem derartigen Netz besteht die Gefahr, daB schrankt wird. 
durch AngrifFe auf den Algorithmus, der zur Authenufizie- Alternativ oder zusatzlich kann bei Uberschreiten des 
rung verwendet wird, das Netzwerk beispielsweise in einem Grenzwertes an das Netzwerk oder eine entsprechende 
Computer simuliert werden kann, indem ausgewahlte "Zu- Netzwerkkomponente eine Information ubermittelt werden, 
fallszahlen" nach dem standardisierten Protokoll an die 65 wodurch im Netzwerk die Funktionen der Karte (SIM) zu- 
SIM-Karte ubermittelt werden und daraus bei mehrfachen mindest iiberwacht werden konnen. Mit dieser Information 
Authentifizierungsversuchen der Geheimschliissel der Chip- konnen femer seitens des Netzwerkes bzw. der Netzwerk- 
karte ermittelt werden kann. Nach Ermittlung des geheimen komponente einzelne oder alle Funktionen der Karte ge- 
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spent werden. 

Es ist femer vorteilhaft, in alien ATR-Berichten der Karte 
auf das tJberschreiten der oberen Grenze hinzuweisen. 

Insbesondere fur den Fall, daB die obere Grenze flir die 
zulassige Anzahl an Authentifizierungsverfahren mit hoher 5 
Wahrscheinlicbkeit kleiner als die zu erwartende regulare 
Anzahl von Authentifizierungen ist, ist. es vorteilhaft, einen 
alteraativen geheimen SchlUssel in der Karte abzulegen. Bei 
Erreichen der oberen Grenze kann somit auf einen neuen 
Geheimschliissel umgestellt werden, wobei hierbei eben- 10 
falls ein neuer Zahler initiiert wird bzw. der Zahler rOckge- 
sctzt wird 

Neben dera Umschalten auf einen weiteren geheimen 
Schlussel, kann ebenfalls eine neue IMSI selektiert werden, 
so daB nach Erreichen des oberen Grenzwertes auf ein neues 15 
IMSI/Schliissel-Paar zugegriffen wird. 

Insbesondere fur SMs, die uber eine eigene Energiever- 
sorgung und damit iiber eine interne Zeitmessung verfugen 
konnen, kann es auch vorteilhaft sein, nach einer langeren 
Zeitdauer den Zahler zyklisch riickzusetzen. 20 

Es kann weiterhin neben dem oberen Grenzwert ein zwei- 
ter Grenzwert vorgesehen werden, der unter dem oberen 
Grenzwert liegt Damit ist die Moglichkeit gegeben, dem 
Nelzwerk bereilA* vor Erreichen des oberen Grenzwertes 
eine Information zukommen zu lassen, die es dem Netz- 25 
werkbetreiber erlaubt, beispielsweise dem Benutzer recht- 
zeitig eine neue Karte auszustellen, wenn die Funktionen 
der im Gcbrauch bcfindlichcn aufgrund der Ubcrschrcitung 
der zulassigen Anzahl an Authentiflkationen in absehbarer 
Zeit gesperrt werden. 30 

Im folgenden wird die Erfindung beispielhaft anhand ei- 
nes Ausfuhrungsbeispiels gemaB den Fig. 1 und 2 beschrie- 
ben. 

Fig. 1 zeigt den Ablauf der kryptographischen Funktio- 
nen des SIM im GSM-Netz. 35 

Fig. 2 zeigt die fiir die Erfindung wesentlichen Elemente 
des SIM. 

In Fig. 1 ist der Datenaustausch zwischen der Chipkarte 
(SIM) und dem Netzwerk iiber die T^ftschnittstelle darge- 
stellt. 40 

Bei der Fig. 1 wird vorausgesetzt, daB der iibliche Vor- 
gang der PIN-Verifizierung abgeschlossen ist. Im AnschluB 
an diese PIN-Verifizierung wird von mobilen Einheit, in der 
sich die Karte befindet, cine Nachricht an das Nctzwcrk gc- 
sendet, welche die IMSI (international mobile subscriber 45 
identity) bzw. TMSI (temporary mobile subscriber identity) 
enthalt, Aus der IMSI bzw. TMSI wird im Netzwerk nach 
einer vorgegebenen Funktion oder mittels einer Tabelle der 
geheime Schlussel IQ ermittelt, der in der Chipkarte (SIM) 
in einem nicht zuganglichen Speicherbereich abgelegt ist. 50 
Der geheime Schlussel wird fur die spatere Verifizierung des 
Authentifikationsvorganges benotigt. 

Vom Netzwerk wird der Authentiflzierungsvorgang in- 
itialisiert, indent eine Zufallszahl (RAND) berechnet wird, 
die iiber die Luftschnittsteile in die Chipkarte (SIM) ubertra- 55 
gen wird. 

In der Chipkarte wird daraufhin mittels einer Authentisie- 
rungsfunktion aus dem geheimen Schlussel Kj und der Zu- 
fallszahl RAND das Authentisierungsergebnis SRES gebil- 
dct, das iiber die Luftschnittsteile an das Nctzwcrk ubertra- 60 
gen wird. Im Netzwerk wird ebenfalls mittels der geheimen 
Funktion und der Zufallszahl RAND sowie dem geheimen 
Schliissel K[ ein Authentisierungsergebnis SRES* gebildet. 
Im Netzwerk findet weiterhin ein Vergleich der Authentisie- 
rungsergebnisse SRES und SRES' statu wobei bei Gleich- 65 
heit der Authentiflzierungsvorgang erfolgreich abgeschlos- 
sen wird, wahrend bei Ungleichheit ein Abbruch der Verbin- 
dung vorgenommen wird, da sich die Karte des Teilnehmers 



nicht authentisiert hat. 

In der Chipkarte SIM wird gemaB der Erfindung entweder 
vor oder nach der Authentisierung der Zahlerstand eines 
Authentifikations-Zahlers erhohL Im AnschluB an die Zah- 
lererhohung wird in der Chipkarte SIM ein Vfergleich des ak- 
tuellen Zahlerstandes mit dem oberen Grenzwert Z^, wel- 
cher die maximal zulassige Anzahl der Authentifizierungs- 
vorgange angibt, verglichen. FUr den Fall, daB Z < Z^ ist, 
konnen im Netzwerk alle Dienste in Anspruch genommen 
werden, fur die der Benutzer autorisiert ist. Fiir den Fall, daB 
der aktuelle Zahlerstand Z den oberen Grenzwert Z^ er- 
rcicht oder ubcrschrittcn hat, kann entweder chipkartensci- 
tig eine Sperrung SP der Chipkarte und damit der Netzwerk- 
funktionen eingeleitet werden oder es kann alternativ oder 
zusatzlich eine Nachricht Mess an das Netzwerk iibermittelt 
werden, woraufhin im Netzwerk verschiedene Aktionen 
eingeleitet werden konnen, wie beispielsweise die Uberer- 
wachung der SIM-Akrivitaten, das Nichtzulassen bestirnm- 
ter Dienste im Netzwerk, oder die Sperrung der gesamten 
Dienste, die der Benutzer ublicherweise nach erfolgreicher 
Authentifizierung in Anspruch nehmen kann. 

Die Fig. 2 zeigt ein Ausfuhrungsbeispiel einer Chipkarte 
SIM, die eine Schnittstelle S zum Datenaustausch mit. einem 
MobilfunkLelefon aufweist sowie einen Mikroprozessor up, 
der mit einem Zahler Z und einem Speicher M, Mg verbun- 
den ist. Der Zahler Z kann im wesentlichen als Hardware- 
zahler ausgebildet sein oder er ist als Softwarezahler pro- 
grarnmicrt. Der Speicher ist untcrtcilt in den ublichcn Spei- 
cherbereich M, in dem Daten ausgelesen und eingeschrieben 
werden konnen und in den geheimen Speicherbereich Mg, in 
dem zumindest der geheime Schlussel Ki sowie der Authen- 
tisierungsalgorithmus abgelegt sind. Wenn iiber die Schnitt- 
stelle S die Zufallszahl RAND erhalten wird, initiiert der 
Mikroprozessor uP zum einen die Erhohung des Zahlers Z 
sowie den Vergleich des aktuellen Zahlerstands mit der obe- 
ren Grenze Z^ax und zum anderen wird aus dem geheimen 
Speicherbereich Mg der geheime Schlussel K( sowie der Al- 
gorithms geladen, um die Authentifizierungs-Berechnung 
durchzufuhren und das Hrgebnis SRES zu erhalten. 

Patentanspriiche 

1. Verfahren zum Schutz vor Angriffen auf den Au- 
thcntifizicrungsalgorithmus bzw. den Geheimschliissel 
(Ki) einer Chipkarte (SIM) in einem Netzwerk zur 
Nachrichteniibertragung, vorzugsweise in einem 
GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmic sowie ein geheimer Schlussel (IQ) gespei- 
chert ist, wobei zur Authentifizierung 

- zunachst vom Netzwerk oder einer Netzwerk- 
komponente eine Zufallszahl (RAND) an die 
Chipkarte iibertragen wird, 

- in der Chipkarte mittels des Algorithmus, der 
Zufallszahl (RAND) und des geheimen Schlussels 
(Ki) ein Antwortsignal (SRES) erzeugt wird, das 
an das Netzwerk bzw. die Netzwerkkomponente 
iibermittelt wird, um dort die Authentizitat der 
Karte (SIM) zu iiberpriifen, 

dadurch gekennzeicfaiiet, daB 

- ein Zahler (Z) zur Aufzcichnung der Anzahl der 
insgesamt mit der Karte durchgefiihrten Authenti- 
fikationsvorgange vorgesehen ist, 

- ein oberer Grenzwert (Z^ fur die Anzahl der 
insgesamt mit der Karte durchzufuhrenden Au- 
thentifikationsvorgange vorgegeben wird, und 

- bei jeder Authentifikation der Zahler (Z) erhoht 
und mit dem vorgegebenen oberen Grenzwert 
(Zm«) verglichen wird. 
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2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB der obere Grenzwert (Zma*) hdher liegt als die 
geschatzte, mit einer Karte durchgefuhrte Anzahl an 
Authentifikationen und niedriger liegt als die zu erwar- 
tende Anzahl der fur die Ermitdung des geheimen 5 
Schliissels notwendigen Authentifizierungsvorgange. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahler (Z) in der Chipkarte imple- 
mentiert ist und der Vergleich des aktuelien Zahlerstan- 
des rnit dem oberen Grenzwert (Z^) in der Chipkarte 10 
durchgefiihrt wird. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahler in einer Netzwerkkomponente 
implementiert ist und der Vergleich des aktuelien Zah- 
lerstandes mit dem oberen Grenzwert (Tttw) m einer 15 
Netzwerkkomponente durchgefuhrt wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB bei Uberschreiten des obe- 
ren Grenzwertes (ZmjJ einzelne oder alle Funktionen 
der Chipkarte (SIM) blockiert werden. 20 

6. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB bei Uberschreiten des vor- 
gegehenen oberen Grenzwertes (/max) an das Netz- 
werk oder eine Netzwerkkomponente eine Infonnaiion 
ubermittelt wird und das Netzwerk infolge dieser Infor- 25 
mation die Aktivitaten der Chipkarte (SIM) uberwacht. 

7. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, dafi das Netzwerk cine Anfragc initiicrt, gcmaB der 
die Funktionen der Chipkarte geloscht oder einge- 
schrankt werden. 30 

8. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB nach Erreichen des oberen 
Grenzwertes (ZmaJ in alien Answer to Reset- (ATR- 
)Berichten ein Hinweis erzeugt wird, daB der Zahler 
seinen Hochststand erreicht hat 35 

9. Verfahren nach einem der vorhergehenden Anspru- 
che 1 bis 8, dadurch gekennzeichnet, daB bei Erreichen 
des oberen Grenzwertes (Z^ des Zahlers das Netz- 
werk oder die Chipkarte (SIM) das Umschalten auf ei- 
nen alternaiiven, in der Chipkarte abgelegten, Geheim- 40 
schliissel (KO initiiert 

10. Verfahren nach einem oder mehreren der Anspru- 
che 1 bis 9, dadurch gekennzeichnet, daB nach Errei- 
chen des Hochststandcs des Zahlers (Z) auf ein alterna- 
tives IMSI/geheimes Scblussel-Paar umgestellt wird. 45 

11. Verfahren nach einem der Anspruche 1 bis 10, da- 
durch gekennzeichnet, daB der Authentifikations-Zah- 
ler nach einer vorgegebenen Zeit zuriickgesetzt wird, 

12. Verfahren nach einem der Anspruche 1 bis 11, da- 
durch gekennzeichnet, daB neben dem oberen Grenz- 50 
wert (Z,^ ein zweiter Grenzwert vorgegeben wind, 
der unterhalb des oberen Grenzwertes liegt, und bei 
dessen Erreichen ein Signal an das Netzwerk gesendet 
wird, in dem auf das nahende Erreichen des oberen 
Grenzwertes (Z^) hingewiesen wird. 55 
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